Skip to content

FAQ

Cybersécurité | Protection des données

Questions générales

Toute organisation soucieuse de sa cybersécurité et de sa conformité à la règlementation sur la protection des données : entreprises privées, collectivités publiques, associations, fondations. Nous intervenons aussi bien auprès des PME, collectivités publiques que des grands groupes. Nos secteurs d’intervention les plus fréquents incluent le développement de logiciels, les gérances immobilières, la finance, les fiduciaires, les ressources humaines et les services administratifs.

Oui, nos Data Guardians interviennent dans toute la Suisse, en présentiel ou à distance selon vos besoins. Nous sommes domiciliés à Genève, Lausanne et Sion.

Absolument. Nous adaptons nos services aux PME comme aux grands groupes. Chaque organisation mérite et nécessite une cybersécurité et une conformité adaptées à sa taille et à son contexte.

Oui, si vous le souhaitez. Nous pouvons réaliser une analyse d’écart (gap analysis) préalable à un accompagnement selon le référentiel ou le sujet qui vous concerne (ISO 27001, Cyber-Safe, LPD, RGPD, etc.). Cette étape vous donne une vision claire de votre situation actuelle et des priorités à traiter. Si vous savez déjà ce dont vous avez besoin ou connaissez votre niveau, nous entrons directement dans le vif du sujet et adaptons notre accompagnement en conséquence.

Oui. L’ensemble de nos ingénieurs en sécurité et juristes spécialisés en protection des données travaillent depuis la Suisse. Vos données (sensibles) et vos informations confidentielles ne quittent jamais le territoire dans le cadre de nos interventions, et nos équipes connaissent parfaitement les réalités réglementaires et économiques suisses.

Oui. Notre expertise peut être confirmée auprès de plusieurs organisations suisses qui nous font confiance. Sur demande, et avec leur accord, nous vous mettons en relation avec des clients de votre secteur ou de taille comparable, cas échéant, pour qu’ils témoignent de notre accompagnement.

Protection des données (LPD / RGPD)

Cela dépend du cadre qui vous est applicable.

Sous la LPD suisse, la désignation d’un conseiller à la protection des données ou DPO est facultative pour les organisations privées : seuls les organes fédéraux y sont légalement tenus. Nommer un DPO reste néanmoins avantageux, notamment lorsque vous pouvez le consulter au lieu de l’autorité de contrôle pour un traitement de données à risque élevé. C’est aussi un gage de diligence apprécié en cas de contrôle, d’incident ou vis-à-vis des clients.

Sous le RGPD, la désignation d’un DPO devient en revanche obligatoire dans certains cas, notamment lorsque vous traitez à grande échelle des données sensibles ou que vous procédez à un suivi systématique et régulier des personnes concernées.

La LPD (Loi fédérale sur la protection des données) et le RGPD est le règlement européen. Les deux poursuivent le même objectif : protéger les données personnelles avec des principes très proches, mais diffèrents sur certains points (montants des sanctions, obligations de notification, portée territoriale). Une entreprise suisse peut être soumise aux deux simultanément.

En principe, si vous traitez uniquement des données de personnes en Suisse, c’est la LPD qui s’applique. Toutefois, le RGPD peut vous concerner dès lors que vous proposez des biens ou services à des personnes situées dans l’Union européenne, ou que vous suivez leur comportement, même sans y être établi. Nous analysons vos traitements pour déterminer précisément quel cadre vous est applicable.

La LPD prévoit des amendes pouvant atteindre CHF 250’000.-, qui visent notamment les personnes physiques responsables au sein de l’organisation. Au-delà des sanctions financières, une non-conformité expose votre organisation à des dommages réputationnels, une perte de confiance de vos clients et partenaires, et des difficultés commerciales lorsque vos clients exigent des garanties sur la protection de leurs données.

Oui. La LPD et le RGPD permettent expressément de désigner un DPO externe. C’est même souvent préférable : vous bénéficiez d’un juriste spécialisé sans charge salariale à temps plein, d’une indépendance totale vis-à-vis de vos services internes, et d’une expertise capitalisée sur de nombreuses organisations. Nos Data Guardians peuvent être désignés officiellement comme votre DPO externe.

Cybersécurité (CISO / SOC / incidents)

Votre responsable informatique veille à ce que vos systèmes fonctionnent : disponibilité, performance, support aux utilisateurs. Le CISO, lui, pilote la sécurité de ces systèmes : analyse des risques, gouvernance, stratégie de protection, conformité. Ce sont deux rôles distincts et complémentaires. Confier la sécurité au responsable IT revient à le rendre juge et partie : il ne peut pas évaluer objectivement la sécurité de ce qu’il a lui-même mis en place.

Votre prestataire IT gère votre infrastructure et déploie des outils de sécurité, mais son rôle est de faire fonctionner vos systèmes, pas de définir et piloter votre stratégie de sécurité globale ni d’assurer votre conformité réglementaire. Un regard indépendant est nécessaire pour évaluer objectivement votre niveau de protection, identifier les angles morts et vous accompagner sur les aspects organisationnels et juridiques que votre prestataire technique ne couvre pas.

Réagissez vite mais sans précipitation. Contactez-nous immédiatement, évitez d’éteindre les appareils concernés (cela peut détruire des preuves), isolez si possible les systèmes touchés du réseau, et ne payez aucune rançon avant d’avoir consulté des experts. Nos équipes interviennent rapidement pour contenir l’incident, analyser son origine, préserver les preuves et vous guider sur les notifications éventuellement obligatoires aux autorités.

Non, lorsqu’il est correctement planifié. Nos audits reposent principalement sur des entretiens, l’examen de documentation et des analyses qui n’impactent pas votre production. Pour les tests d’intrusion, nous définissons ensemble un périmètre et des limites précis, et convenons de moyens de communication en cas de découverte critique, afin de garantir le bon déroulement de vos activités.

Certifications (ISO 27001 / Cyber-Safe)

Le délai dépend de la taille de votre organisation, du périmètre choisi et de votre maturité initiale en matière de sécurité de l’information. En général, il faut compter au moins 6 mois et plus vraisemblablement 9 mois pour se présenter de manière sereine à l’audit de certification. La certification est ensuite valable trois ans, avec un audit de surveillance annuel.

ISO 27001 est une norme internationale centrée sur un système de management : politiques, procédures et gouvernance pour piloter durablement votre sécurité. Elle couvre toute l’information (numérique, papier, verbale), implique une part documentaire importante et est souvent exigée par les clients ayant une certaine maturité cyber.

Cyber-Safe est un label suisse, soutenu par la Confédération, axé sur la cybersécurité des données et systèmes informatiques. Sa logique repose sur des exigences techniques et des indicateurs concrets à satisfaire, avec beaucoup moins de documentation.

Non, et aucun prestataire sérieux ne vous le promettra. Une certification atteste que vous avez mis en place un système de management structuré pour gérer vos risques de sécurité. Elle réduit significativement la probabilité d’un incident et, surtout, améliore votre capacité à le détecter et à y réagir rapidement. C’est une démarche d’amélioration continue, pas une garantie absolue.

Formations & sensibilisations

La sensibilisation doit être continue pour être efficace, car les menaces évoluent constamment et les bons réflexes s’estompent avec le temps. Nous recommandons des actions régulières tout au long de l’année : séances de sensibilisation, campagnes de phishing simulées et questionnaires d’évaluation. Répéter et contextualiser les messages clés ancre durablement une véritable culture de la sécurité, sachant que plus de 90 % des cyberattaques réussies exploitent une erreur humaine.

Non. Nos campagnes de phishing simulées s’inscrivent dans une démarche pédagogique et bienveillante, pas punitive. L’objectif est d’apprendre, pas de sanctionner. Les résultats sont analysés de manière globale pour identifier les thématiques à renforcer, sans stigmatiser les individus.

Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.

Pour en savoir plus consultez notre politique de confidentialité.